Quand une société recrute et sélectionne des candidats et des employés, elle obtient, collecte et traite leurs informations personnelles aux fins de déterminer la qualité de leur candidature pour le job ou la fonction proposée et/ou de constituer une réserve de recrutement.

En ce mois d’octobre 2019, à moins d’avoir hiberné au pôle Nord pendant les 24 derniers mois, vous avez entendu parler du fameux règlement général sur la protection des données (RGPD) et les obligations beaucoup plus lourdes qu’il impose au traitement de données personnelles. Notamment les droits étendus du propriétaire de données (exigences renforcées pour le consentement, droit à la portabilité des données, droit au retrait du consentement, etc) mais encore les obligations de conserver des données à jour, de tenir compte de la vie privée dès l’origine (privacy by design), les études d’impact, etc.

A moins de vouloir subir les sanctions renforcées imposées par le RGDP, les employeurs de tous bords feront bien de respecter la vie privée des candidats.

Sans aucun doute, le RGPD et la loi du 30 juillet 2018 ont un impact dramatique sur le processus de sélection et de recrutement qui encore aujourd’hui n’est pas encore bien mesuré par nombre d’entreprises.

Il était (pour certains, je n’en doute pas, c’est encore le cas) de pratique courante de conserver des dizaines de CV, de notes ou de mails contenant des données personnelles des candidats à divers endroits (disques durs des ordinateurs des managers, du DRH de la secrétaire, réseau informatique, mails, smartphones, etc) parfois pour de longues périodes et sans trop s’en soucier.

Ces jours bénis ne sont plus. Et à moins de vouloir subir les sanctions renforcées imposées par le RGDP, les employeurs de tous bords feront bien de respecter la vie privée des candidats et, pour ce faire, de prendre des actions comme:

1. Analyser leurs besoins, les flux de données et le nombre de personnes impliquées dans le processus de recrutement et de sélection tant en interne qu’en externe (les chasseurs de tête par exemple).

2. Informer les candidats de leurs droits étendus et leur fournir les informations concernant le traitement de leurs données personnelles.

3. Informer les personnes impliquées des aspects juridiques et en particulier du type de données/de questions qu’ils peuvent demander/poser.

4. Si possible centraliser le traitement des données et d’éviter que les données personnelles d’un candidat ne soient éparpillées à plusieurs endroits/chez plusieurs personnes et de les conserver dans une base de donnée séparée.

5. Les maintenir à jour et les effacer entre 12 et 24 mois après la collecte sauf si elles sont utilisées pour constituer une base de recrutement future et le candidat est d’accord.

6. Mettre en œuvre les procédures requises pour répondre à une demande d’accès ou de portabilité, et l’effacement automatique au-delà d’un certain délai.

7. Impliquer le département informatique.

8. Discuter avec les différents acteurs et partenaires et s’accorder sur une approche coordonnée et concertée du traitement.

9. Documenter les décisions concernant le traitement des données et l’organisation du processus pour démontrer que dès l’origine le respect de la vie privée a été pris en compte.

Tout ceci en assurant en même temps le respect d’autres dispositions plus anciennes comme la convention collective de travail n°38 qui détermine les droits et les obligations dans le processus de recrutement et de sélection. Notamment, le droit à la confidentialité, à être informé de la nature et des détails du job/de la fonction, à un traitement rapide de la candidature, à être informé des raisons justifiant la décision de rejeter la candidature, etc.

Et le candidat non retenu sera avisé de demander une explication des raisons justifiant cette décision ainsi que de demander l’effacement de ses données.